Um zu GlobalProtect implementieren, konfigurieren Sie:
- GlobalProtect Client heruntergeladen und in den Palo Alto Networks aktiviert firewall
- Portal-Konfiguration
- Gateway-Konfiguration
- Routing zwischen den Vertrauenszonen und GlobalProtect Clients (und in einigen Fällen zwischen den GlobalProtect Clients und den nicht vertrauenswürdigen Zonen)
- Sicherheit und NAT Richtlinien, die den Datenverkehr zwischen den Clients und Trust zulassen GlobalProtect
- Optional: NAT Policy für GlobalProtect Clients, um ins Internet zu gehen (wenn Split-Tunneling nicht aktiviert ist)
- Für iOS- oder Android-Geräte, um eine Verbindung herzustellen, GlobalProtect app kann verwendet werden.
Zertifikatkonfiguration:Portal-Konfiguration
Es empfiehlt sich ersten Test ohne eine Zeugnisvorlage, wodurch für einfachere Fehlerbehebung, wenn die anfängliche Konfiguration nicht funktioniert wie vorgesehen. Konfigurieren und testen Sie zunächst erfolgreich die Standardauthentifizierung, und fügen Sie dann das Zertifikatsprofil für die Zertifikatauthentifizierung hinzu.
Die Portaladresse ist die Adresse, an die sich externe GlobalProtect Clients verbinden. In den meisten Fällen ist dies die Adresse der externen IP Schnittstelle. Die Gatewayadresse ist in der Regel dieselbe externe IP Adresse.
GlobalProtect Verbindungsmethoden:
- Auf Abruf: Erfordert eine manuelle Verbindung, wenn der Zugriff auf die VPN erforderlich ist.
- Benutzeranmeldung: VPN wird eingerichtet, sobald sich der Benutzer am Computer anmeldet. Wenn SSO aktiviert, werden Benutzeranmeldeinformationen automatisch aus den Windows-Anmeldeinformationen abgezogen und zur Authentifizierung des GlobalProtect Clientbenutzers verwendet.
- Voranmeldung: VPN wird eingerichtet, bevor sich der Benutzer am Computer anmeldet. Computerzertifikat ist für diese Art der Verbindung erforderlich.
Die Registerkarte Agent enthält wichtige Informationen darüber, was Benutzer mit dem Agenten tun können oder GlobalProtect nicht. So dass Agent Benutzer überschreiben mit Kommentar erlaubt Benutzern, den Agent deaktivieren nach Eingabe eines Kommentars oder Grund. Der Kommentar wird in den Systemprotokollen der firewall angezeigt, wenn sich dieser Benutzer als nächstes anmeldet.
Wenn Sie die Option "deaktiviert" für Agent User Override auswählen, wird verhindert, dass Benutzer den GlobalProtect Agenten deaktivieren:
Gateway-Konfiguration
Palo Alto Networks empfiehlt für die Erstprüfung Standardauthentifizierung konfigurieren. Wenn alles getestet wurde, kann die Konfiguration bei Bedarf durch das Hinzufügen von Authentifizierung über Clientzertifikate hinzugefügt werden.
Um Geräte bei einer Drittanbieteranwendung zu authentifizieren, VPN aktivieren Sie X- "Auth-Support aktivieren" in der Clientkonfiguration des Gateways. Gruppenname und Kennwort müssen für diese Einstellung konfiguriert werden.
In den meisten Fällen ist die Vererbungsquelle für Firewalls mit statischen öffentlichen IP Adressen auf keine festgelegt.
Die Informationen zu den IP Pooleinstellungen sind wichtig, da der Adresspool den IP firewall verbindungsgebundenen Clients zugewiesen GP wird. Auch wenn Global Connect-Clients als Teil des lokalen Netzwerks betrachtet werden müssen, um das Routing zu erleichtern, empfiehlt Palo Alto Networks nicht, einen IP Pool im selben Subnetz wie der Adresspool zu LAN verwenden. Interne Server wissen automatisch, um Pakete zurück zum Gateway zu senden, wenn die Quelle ein anderes Subnetz ist. Wenn den GP Clients Adressen aus demselben Subnetz wie die ausgegeben IP LAN würden, würden die internen Ressourcen ihren LAN für die Clients vorgesehenen Datenverkehr niemals an die Palo GP Alto-Netzwerke weiterleiten Firewall (Standard GW ).
Zugangswege:
Zugriffsrouten sind die Subnetze, mit denen GlobalProtect Clients eine Verbindung herstellen sollen. In den meisten Fällen sind dies die LAN Netzwerke. Um zu erzwingen, dass der gesamte Datenverkehr durch den firewall , sogar den für das Internet bestimmten Datenverkehr, geht, ist das Netzwerk, das konfiguriert werden muss, "0.0.0.0/0", d. h. der gesamte Datenverkehr.
Wenn 0.0.0.0/0 konfiguriert ist, kann die Sicherheitsregel dann steuern, auf welche internen LAN Ressourcen die Clients zugreifen GlobalProtect können. Wenn eine Sicherheit den Datenverkehr aus der Clientzone nicht in die nicht policy vertrauenswürdige Zone nicht zulässt, GlobalProtect können diese Clients von den GlobalProtect Clients, die über die mit den Palo Alto-Netzwerken verbunden firewall SSL VPN sind, nur auf lokale Ressourcen zugreifen und sind im Internet nicht zulässig:
Die GlobalProtect Clientzonen und -tunnel müssen in demselben virtuellen Router wie die anderen Schnittstellen enthalten sein.